Workok : de puissants logiciels malveillants cachés dans les images PNG

À moins que ce ne soit votre premier jour sur Internet, vous savez probablement que le téléchargement de certains fichiers peut être une grave erreur. Il n’est pas nécessaire d’être un expert en cybersécurité pour savoir qu’un double-clic sur TotallyNotAVirus.exe fichier qui est mystérieusement apparu dans votre dossier de téléchargements est une mauvaise idée. Si vous êtes un peu plus soucieux de la sécurité, vous savez probablement aussi que les fichiers PDF, les feuilles de calcul Excel et les documents Word peuvent également contenir du code malveillant. Mais combien de fois avez-vous envisagé la possibilité qu’un logiciel malveillant se cache dans un fichier d’image? Un groupe de piratage sophistiqué connu sous le nom de Worok a développé un nouveau type de malware qui peut être dissimulé dans des images PNG d’apparence inoffensive, et ils l’ont utilisé pour cibler les gouvernements et les grandes entreprises du monde entier.

Jetez un œil à l’image abstraite bleue apaisante ci-dessus. Il s’agit de l’une des images PNG réelles qui ont été utilisées pour distribuer la charge utile des logiciels malveillants voleurs d’informations de Worok. Selon le blog We Live Security d’ESET, le malware PNG a été utilisé pour attaquer les cibles de grande valeur suivantes :

  • Une entreprise de télécommunications en Asie de l’Est
  • Une banque en Asie centrale
  • Une entreprise de l’industrie maritime en Asie du Sud-Est
  • Une entité gouvernementale au Moyen-Orient
  • Une entreprise privée en Afrique australe
  • Une entreprise énergétique en Asie centrale
  • Une entité du secteur public en Asie du Sud-Est

Ci-dessus : Cette carte de We Live Security d’ESET offre un aperçu rapide de certains des pays où les chercheurs en cybersécurité ont trouvé les fichiers PNG malveillants de Worok.

Comment les logiciels malveillants sont-ils cachés dans les images PNG ?

Cette question devient très technique très rapidement, nous allons donc vous donner la version courte. Si vous voulez l’explication complète, allez lire l’article We Live Security ou l’article Avast.

Ni ESET ni Avast n’ont déterminé le point de compromis initial exact, mais on sait que l’infection commence lorsqu’un code est exécuté pour créer quelques fichiers DLL malveillants dans le dossier Windows System32. Ces DLL exécutent ensuite l’un des deux chargeurs de logiciels malveillants : CLRLoad ou PowHeartBeat. Ensuite, une DLL de deuxième étape appelée PNGLoad extrait la charge utile finale du script PowerShell qui est cachée dans un fichier PNG.

Ci-dessus : un organigramme des deux chaînes d’exécution connues pour le malware PNG. (Source : Nous vivons la sécurité)

Worok a utilisé un processus appelé codage LSB (bit le moins significatif) qui « intègre de petits morceaux de code malveillant dans les bits les moins importants des pixels de l’image », selon BleepingComputer. Il s’agit en fait d’une forme de stéganographie (c’est-à-dire de cacher des données dans un fichier image), un sujet dont nous avons parlé dans notre article précédent Stéganographie : plus qu’il n’y paraît.

Ci-dessus : grâce au codage LSB, deux pixels d’une image peuvent dissimuler un octet de données cachées. L’image centrale montre les plans de bits RVB de Worok sans données cachées, et l’image de droite montre les plans de bits LSB à côté d’une représentation visuelle de leurs données intégrées. (Source : Avast)

Une fois ce processus d’infection complexe terminé, la charge utile du fichier PNG installe « un voleur d’informations .NET C # personnalisé » appelé DropBoxControl. Cela abuse des comptes DropBox créés par les pirates Worok pour télécharger ou télécharger des fichiers et exécuter des commandes à distance sur la machine infectée.

Que peut faire le malware PNG de Worok ?

Selon Avast, la porte dérobée DropBoxControl peut exécuter les commandes suivantes :

  • cmd — Exécute une invite de commande avec les paramètres donnés par les attaquants
  • exe — Exécute un fichier .exe avec les paramètres donnés par les attaquants
  • FileUpload – Téléchargez des fichiers depuis la DropBox des attaquants sur l’ordinateur de la victime
  • FileDownload – Télécharger (c’est-à-dire voler) des fichiers depuis l’ordinateur de la victime
  • FileDelete – Supprimer n’importe quel fichier de l’ordinateur de la victime
  • FileRename — Renommer un fichier depuis l’ordinateur de la victime
  • FileView – Envoyer des informations sur les propriétés (c’est-à-dire le nom, la taille, l’heure du dernier accès) de tous les fichiers dans un répertoire sélectionné
  • ChangeDir — Sélectionnez un répertoire différent sur l’ordinateur de la victime
  • Info — Envoie des informations sur l’ordinateur (y compris le nom d’hôte, l’adresse IP, la version d’explorer.exe et l’espace disponible sur le disque dur) aux attaquants
  • Config – Mettez à jour les paramètres de porte dérobée DropBoxControl cryptés (un fichier appelé ieproxy.dat situé dans C:\Program Files\Internet Explorer)

En d’autres termes, les attaquants ont essentiellement un contrôle à distance complet sur l’ordinateur de la victime et tous ses fichiers à ce stade.

Qui est Worok ?

Ci-dessus : tout comme le ransomware destructeur connu sous le nom de Petya, certains ont émis l’hypothèse que les fichiers PNG malveillants de Worok sont une forme de cyber-guerre parrainée par l’État.

Les experts en cybersécurité ne savent pas exactement qui se cache derrière ces attaques. Cependant, sur la base de la nature très médiatisée des cibles, des fonctions d’espionnage du logiciel malveillant et de la sophistication de sa méthode de diffusion, il semble probable que Worok soit un groupe de piratage au niveau de l’État (ou parrainé par l’État). Selon Avast, « l’une des connexions DropBoxControl a été surveillée à partir d’une adresse IP associée au ministère du Développement économique de Russie ».

Avast a également noté que les auteurs de CLRLoad et PNGLoad sont probablement une entité différente et plus expérimentée que les auteurs de l’étape finale, DropBoxControl. Ils ont noté que « la qualité du code [of DropBoxControl] est au mieux discutable », expliquant qu’il « contient beaucoup de code redondant » et même en disant qu’il « ressemble à un projet scolaire ».

Il est peu probable que vous rencontriez l’un des fichiers PNG malveillants de Worok à moins que vous ne travailliez pour une entité gouvernementale ou une entreprise du Fortune 500, mais il convient de se rappeler que même les fichiers image d’apparence ordinaire peuvent contenir des logiciels malveillants. Téléchargez avec soin.


Préparez-vous maintenant :

Divulgation : Ces liens sont des liens affiliés. Caribou Media Group touche une commission sur les achats admissibles. Merci!

RESTEZ EN SÉCURITÉ : Téléchargez un copie du problème d’épidémie OFFGRID

Dans le numéro 12, Magazine hors réseau a examiné de près ce dont vous devriez être conscient en cas d’épidémie virale. Nous offrons maintenant une copie numérique gratuite du numéro OffGrid Outbreak lorsque vous vous abonnez à la newsletter par e-mail OffGrid. Inscrivez-vous et obtenez votre copie numérique gratuite

★★★★★

Équipe survivaliste

Équipe survivaliste

Nous sommes une équipe de survivalistes aguerris et passionnés. Nous vous proposons des articles quotidiens pour pouvoir partager ensemble notre passion du survivalisme, nos tutos et nos meilleurs conseils. Sur ce site, nous parlons d'armes, de défense de son territoire et de sa personne, de nature, de santé, d'autonomie, et de tout ce qu'il vous faut pour apprendre à survivre et "rester en vie".

Articles liés